出典:Anti-Phishing Working Group
この猛暑の7月に涼むためのビニールプールの素晴らしいセールを宣伝するメールには、購入手続きを簡単にする便利なQRコードが付いているかもしれません。または、花火の特別セールを宣伝するQRコードを見つけることもあるでしょう。これらのQRコードは無害に見えますが、攻撃者はこれらを悪意ある目的で使うケースが増えています。
2024年10月から2025年3月までの間に発生したフィッシングやその他の身元盗用に関連する悪意ある活動を分析したところ、Anti-Phishing Working Group(APWG)は、犯罪者が毎日数百万通のメールにQRコードを添付して送り、被害者をフィッシングサイトやブランドなりすましページ、その他の詐欺サイトに誘導していることを発見しました。この6か月間で、APWGのメンバーでありメールセキュリティ企業のMimecastは、170万件の悪意あるQRコードを検出し、1日平均270万通のQRコード付きメールを検知したと、APWGのPhishing Activity Trends Reportによって報告されています。
これらの悪意あるQRコードは、ユーザーを騙して企業アカウントの認証情報を渡させたり、マルウェアをダウンロードさせて企業ネットワーク内の他のシステムに拡散させたりする可能性があるため、企業にとってセキュリティリスクとなっています。
ユーザーは要注意
正規のQRコードは、マーケティングや広告からコンサートやスポーツイベントでのチケットスキャンまで、あらゆる場面で使用されています。イベントの行列や飛行機の搭乗手続きをスムーズにするのに役立ちますが、ユーザーは警戒が必要です。特に、従来のメールフィルタリングではこれらの有害なQRコードを検出できないため、注意が必要だと報告書は指摘しています。
APWGによると、特定の業界セクターが特に脆弱というわけではなく、犯罪者は複数のセクターを比較的均等に攻撃しています。Mimecastは、小売・卸売業界に148,596件、製造業に132,242件、建設業に123,322件の悪意あるQRコードが送信されたことを検知しました。
Loading...
「これらの業界が頻繁に標的となるのは、消費者がモバイルアプリ(AmazonやWalmartなど)を通じて小売サービスを利用することが多く、これらのセクターが製品やサービスの情報伝達にQRコードを広く採用しているためと考えられます」と報告書は述べています。Mastercardは、quishing(悪意あるQRコードによるフィッシング)攻撃の最も標的となっているブランドです。
正規利用と悪用の違い
犯罪者は、正規企業が利用しているのと同じQRコード生成サービスを悪用しています。これらのサービスは、コードが何回スキャンされたかやユーザーの位置情報の追跡、URL短縮サービスの利用、同じコードのままリンク先URLを変更する機能などを提供しています。犯罪者は、これらの機能を使ってキャンペーンの最適化や検出回避を行っています。
「犯罪者はまた、QRコードをURL短縮サービスに誘導し、そこから別のリンク先URLにリダイレクトさせていました。これはQRコードの悪意性を隠すための手法です」と報告書は述べています。
一部の生成サービスは有料ですが、多くは無料で利用できます。残念ながら、無料サービスは「悪意ある利用の防止や停止に割くリソースが少ない傾向がある」とAPWGは報告書で述べています。
quishing活動に関する懸念は、より広範な傾向を示しています。APWGは、2024年第1四半期に1,003,924件のフィッシング攻撃を観測しており、これは「2023年末以降で最大の件数」でした。